Editor: Psychz Networks, 17 de febrero de 2019
Necesitará acceso a un servidor CentOS 7 y, si aún no lo ha configurado, puede ejecutar la guía de configuración inicial del servidor CentOS 7. También necesitará tener instalado Apache para configurar hosts virtuales para ello. Puede seguir el tutorial de instalación de LAMP que le ayudará con los requisitos previos https://www.psychz.net/client/kb/en/installation-of-lamp-stack-on-centos-7.html
En el siguiente tutorial, veremos cómo proteger el servidor web Apache en Centos – 7 a través de SSL. Vamos a crear nuestro propio certificado y aprender a configurarlo. Si desea alojar un sitio público con soporte SSL, debe comprar un certificado SSL de una autoridad de certificación de confianza.
Un certificado autofirmado está básicamente firmado por el creador del certificado. Se puede utilizar para probar servidores locales y entornos de desarrollo. Aunque los certificados autofirmados proporcionan el mismo nivel de seguridad entre el sitio web y el navegador, la mayoría de los navegadores web siempre mostrarán un mensaje de alerta de seguridad de que el certificado del sitio web está autofirmado y no es de confianza, ya que no está firmado por la entidad de certificación.
Los certificados comerciales son certificados autorizados emitidos por una autoridad de certificación de confianza que se recomiendan encarecidamente para su uso en un entorno de producción.
Para configurar el certificado autofirmado, deberá instalar el módulo mod_ssl Apache en su sistema.
Paso 1: Instalar Mod SSL
mod_ssl es un módulo de Apache que proporciona soporte para cifrado SSL. Es necesario configurar el certificado autofirmado.
# yum install mod_sslUna vez hecho esto, Apache podrá comenzar a usar un certificado SSL después de que se reinicie.
Paso 2: Crear un certificado autofirmado
Ahora que Apache está listo para usar el cifrado, podemos pasar a generar un nuevo certificado SSL. Al crear el certificado, se requerirá información básica sobre su sitio, y se acompañará de un archivo de clave que permite al servidor manejar de forma segura los datos cifrados.
Primero, crearemos un directorio para almacenar nuestra clave privada (El archivo de certificado se almacena en el directorio/etc / ssl / certs)
# mkdir /etc/ssl/privateHagamos que este directorio sea «privado» solo accesible para el usuario root por motivos de seguridad
# chmod 700 /etc/ssl/privateAhora vamos a crear el Certificado junto con la clave SSL. Esto se puede hacer con «openssl» junto con otros
# openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt– openssl: Esta es la herramienta básica de línea de comandos para crear y administrar certificados, claves y otros archivos de OpenSSL.
– req-x509: El «X. 509» es un estándar de infraestructura de clave pública al que se adhieren SSL y TLS para la administración de claves y certificados.
– nodos: Esto indica a OpenSSL que omita la opción de proteger nuestro certificado con una frase de contraseña. Necesitamos que Apache sea capaz de leer el archivo, sin intervención del usuario, cuando se inicia el servidor. Una frase de contraseña evitaría que esto sucediera, ya que tendríamos que introducirla después de cada reinicio.
– días 365: Esta opción establece el período de tiempo que el certificado se considerará válido. Lo fijamos para un año aquí.
– newkey rsa: 2048:La porción rsa: 2048 le dice que cree una clave RSA de 2048 bits de longitud. «nueva clave» especifica que queremos generar un nuevo certificado y una nueva clave al mismo tiempo.
– keyout: Esta línea indica a OpenSSL dónde colocar el archivo de clave privada generado que estamos creando.
– salida: Esto indica a OpenSSL dónde colocar el certificado que estamos creando.
Country Name (2 letter code) :US
State or Province Name (full name) : John Doe
Locality Name (eg, city) : Los Angeles
Organization Name (eg, company) : Psychz Networks
Organizational Unit Name (eg, section) :IT
Common Name (eg, your name or your server's hostname) : Demo_server
Email Address : [email protected]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password :
An optional company name : Ambos archivos creados se colocarán en los subdirectorios correspondientes del directorio/etc / ssl.
Paso 3: Configure Apache para usar el certificado SSL
Ahora, todos los certificados están listos. Lo siguiente que hay que hacer es configurar Apache para que muestre los nuevos certificados.
Puede hacer esto editando el archivo de configuración SSL:
# vi /etc/httpd/conf.d/ssl.confBusque la sección con la que comienza . Descomente la línea DocumentRoot y ServerName y reemplace el ejemplo.comunícate con la dirección IP o el nombre de dominio de tu servidor.
DocumentRoot "/var/www/html" ServerName www.demo_server.com:443SSLEngine onA continuación, busque las líneas SSLCertificateFile y SSLCertificateKeyFile y actualícelas con la nueva ubicación de los certificados.
SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.crt.keyDespués de realizar estos cambios, reinicie el servicio Apache para que los cambios surtan efecto.
# systemctl restart httpdPaso 4: Pruebe el servidor Apache (HTTPS)
Para verificar que el servidor web HTTPS Apache seguro funciona, abra su navegador web y escriba la URL https://demo_server-ip-address. Debe aparecer un error en su navegador y debe aceptar manualmente el certificado. El mensaje de error aparece porque estamos utilizando un certificado autofirmado en lugar de un certificado firmado por una autoridad de certificación en la que el navegador confía, y el navegador no puede verificar la identidad del servidor al que intenta conectarse. Una vez que agregue una excepción a la verificación de identidad del navegador, debería ver una página de prueba para su nuevo sitio seguro.